自從以Traps進軍端點防護的市場後,Palo Alto改版的動作相當頻繁,先是去年的4.0版中,將防護的範圍延伸到macOS端點電腦,而今年的5月,他們推出5.0大改版,不只陸續支援了Linux伺服器與Android行動裝置,更首度提供雲端主控臺服務Traps Management Services(TMS),減少企業自行架設管理平臺所帶來的不便。

能選用雲端網頁介面減輕維運負擔

在先前的版本中,企業若是想要採用Traps這套端點防護產品,首先必須部署Endpoint Security Manager(ESM)平臺軟體,再派送端點代理程式到用戶端。根據原廠的資料,以250人以下的環境而言,光是建置管理平臺所需的運算資源,便要2個Xeon E5-2660 v2(10核心20執行緒)以上等級的處理器,而且,管理平臺軟體的運作,必須在Windows Server作業系統上執行,並且要搭配SQL Server資料庫,企業也要採買所需的軟體授權。若是採用原廠提供的TMS管理平臺,就省去上述建置與維護成本。

不過,原廠仍會繼續提供ESM軟體。已經使用Traps的企業,在升級ESM 4.2版後,就能部署新版的代理程式。原廠表示,這2種主控臺他們都會持續提供,只是日後的新功能,會優先加入TMS。

對於管理Traps端點電腦的作法上,TMS提供了全新的控管介面,大幅減化ESM階層式設定選項,管理者更容易上手。我們實際拿Android智慧型手機上的Chrome瀏覽器,登入TMS操作,也能夠正常執行這個管理平臺,換言之,管理者只要透過行動裝置,就可使用TMS,不再只能透過個人電腦,才能登入管理主控臺,控管Traps端點。

儀表板更精簡,僅突顯關鍵資訊

相較於原本內部建置的管理平臺,TMS採用了全然不同的配置,整個儀表板只有大約10個數字左右的資訊,一改原本儀表板資訊豐富,導致管理者不易透視全盤態勢的情形。而且,新的管理介面能依據畫面的寬度,自動調整內容的配置,即使透過行動裝置的瀏覽器登入,也能正常使用。

顯示統合威脅情勢的事件數量指標

從TMS提供的管理介面來看,單是儀表板,便比ESM精簡許多,呈現的資訊相當單純,僅有4個項目,分別是等待處理的資安事件、端點電腦作業系統分布長條圖、代理程式的授權使用量,以及軟體為最新版本比例的圓餅圖。整體來說,TMS儀表板上的內容更加簡要,並且易於判讀。

以展現資安態勢的作法上,TMS僅歸類尚待解決的資安事件,然後顯示高、中、低等3種程度威脅的數量。至於ESM的儀表板中,則運用多個長條圖,列出最為容易遭到鎖定的應用程式、使用者,以及端點電腦,原本儀表板圖表中的圖例,由於包含應用程式、電腦,以及使用者的名稱,不若新的TMS儀表板來得容易檢視。再者,透過ESM的儀表板,管理者雖然能得知需要優先處理的電腦與使用者,但當下的威脅態勢嚴重與否,恐怕也難以判斷,相較之下,在新版儀表板中,我們便能依據事件總數量的多寡,進行比較。

類似的情形,對於端點代理程式軟體的版本比較上,新版儀表板也得到了改善。固然,ESM詳實列出了各版本代理程式的比例,然而,TMS的儀表板中,已精簡為最新版本與尚待更新2種,因此,在企業內部,有多少電腦必須派送新版軟體,就能更快得知。

值得一提的是,TMS的新儀表板上,資料統計的時間間隔,管理者終於能夠手動切換,藉此檢視較長期的結果。而這也是儀表板上唯一可切換的功能──從最近的1天,到1周、1個月,或是1季,但不能設定為特定的期間。然而,在這個儀表板裡的項目,並不像現行的ESM,具備向下探索的機制,所幸左方功能的選單內容,算是包含了大多管理者所需調查事件與設定組態的功能,因此,採用TMS之後,雖然管理者無法直接從儀表板向下探索,仍然影響有限。

提供政策設定模版

在設定TMS的流程中,管理者必須事先建置如圖中的防護模組設定檔,再套用到特定使用者群組上。以圖中的這個設定組態而言,便是針對Windows平臺的漏洞滲透防護,提供Traps執行的策略調整項目。

提供單一事件調查頁面

從TMS提供的功能選單來看,大致上可區分為威脅的管理、端點電腦群組,以及Traps代理程式的部署,還有政策的設定等。而在調查威脅的做法上,則包含了依據事件、檔案分析,以及列管端點電腦詳細資訊等面向。

以事件調查而言,新版主控臺統整為單一調查頁面,不再像以往依據漏洞偵測,或是惡意軟體防治等手法,加以區隔成不同的調查頁面。取而代之的是,TMS提供了常用的過濾器,我們若要篩選想要檢視的事件類型,可以依據時間、處理進度、事件嚴重性,以及作業系統等屬性,來找出想要調查的事件,再進一步察看特定攻擊的詳細分析結果。在Traps先前的版本中,雖然可過濾的項目較多,但操作的方式不甚直覺。

能保護安卓行動裝置上的應用程式

我們在Android手機上,安裝Traps軟體後,這個App便檢查裝置裡所有應用程式,其中有103個通過完整驗證流程,Traps確認安全無虞放行,但還有27個尚未由雲端沙箱複驗,標示為未知。

採用模組化的政策設定機制

對於端點電腦的集中管制政策,TMS則是再依據防護機制,區隔成設定檔(Profile),以Windows平臺的政策設定檔項目而言,便區分為漏洞防護、惡意軟體防護、管制功能,以及代理程式組態等4種。管理者需要先建立上述的防護設定檔之後,規畫政策時再行套用。對於想要部署自訂的規則而言,由於在左側的功能選單中,設定檔與政策項目並列,管理者初次操作時,還是需要稍微花點時間理解2者之間的關連。

切割成2層政策架構後,若是想在不同電腦群組之間,採用部分相同的政策,就容易許多。例如,想要套用相同的漏洞與惡意軟體防護設定,但只對於特定用戶,開放外部裝置存取權限時,針對管制項目,管理者建立2組設定檔,其餘部分,2組政策則可套用同樣防護組態。

相較於ESM的政策設定,TMS能配置代理程式與外接裝置管制,但也缺少了鑑識的類別。對於漏洞和惡意軟體的防護設定中,不少細部的項目,在TMS也遭到精簡,像是在漏洞防護項目裡,TMS只能設定針對瀏覽器、電腦本身、已知出現漏洞的處理程序等,設定代理程式放行與否,不像Traps的先前版本,對於電腦上執行的應用程式,管理者還能進行個別設定。

防護領域涵蓋Linux伺服器,以及Android行動裝置

至於在Linux端點平臺支援的部分,也是新版Traps重大突破,從5.0版開始,這套防護產品可適用於Red Hat Enterprise Linux、CentOS、Ubuntu Server、SUSE Linux Enterprise Server等版本,而近期推出的小改版Traps 5.0.1,延伸支援了Debian與Oracle Linux,這意味著,企業最常見的Linux版本,幾乎都能受到Traps保護。在執行Ubuntu 18.04 LTS測試環境中,我們實際下載了副檔名為.SH的指令檔,使用root權限在終端機執行,成功安裝了代理程式。

企業不只能在PC平臺上使用Traps,就連Android行動裝置,也納入了保護的範圍。我們嘗試透過管理平臺,指派在執行Android 6.0作業系統的LG手機上,進行遠端安裝,完成之後,手機上再輸入使用者的姓名和電子郵件信箱,通過驗證後,便大功告成。

從行動版Traps的介面來看,主要的功能在於,分析裝置裡的應用程式,是否帶有威脅。透過Traps軟體的首頁,我們可以看到,允許執行與封鎖的App總數量,以及使用者最近執行過的應用程式列表。而針對特定的App,我們便能進一步點選,檢視詳細的資訊,像是憑證的發行者、Traps檢查的時間點,以及軟體雜湊值等。

 產品資訊 

●建議售價:廠商未提供

●原廠:Palo Alto(02)7703-9080

●端點作業系統支援:Windows XP SP3~10、Server 2003 SP2~2016、macOS 10.10~10.13、64位元Linux、Android 4.4以上

●Windows與macOS系統需求:支援SSE2指令處理器、512MB記憶體、200MB儲存空間

●Linux系統需求:2.3GHz處理器、4GB記憶體、10GB儲存空間

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容